Hallo Michael,
At 30.01.2002, Michael Pahle wrote:
> Am Mittwoch, 30. Januar 2002 00:15 schrieb Guido Hennecke:
> > Wie ist dein Netz denn aufgebaut? Bitte beschreibe das mal so knapp und
> > vollstaendig, wie es dir moeglich ist.
> Server (Woody) mit zwei 10/100 Netzwerkkarten. Eine DSL und eine an einen
> 5fach 10/100 Switch.
FYI: Solltest Du noch eine aeltere 10 MBit/s Netzwerkkarte haben, die
reicht fuer den Anschluss am DSL Modem. Mehr geht da eh nicht.
> Daran ein HP Laserjet 4l Plus, über den alle Clients drucken sollen (und
> inzwischen auch können ;-))
> Clients:
> Mein PC mit Sid
> Mein Schleppi mit SuSE 7.3/WinME
> Der Schleppi meiner Frau WinME
> Der PC meiner Tochter WinME + eigener Canon 450S
Waere es fuer dich eine Option, deinen PC als Server fuer Druckerdienste
etc. zu benutzen anstatt den DSL Router? Das waere schon von Vorteil.
> IPs:
> 127.0.0.1 localhost
Ach? ;-)
> 192.168.6.2 pc.mima.de pc
> 192.168.6.3 martina.mima.de martina
> 192.168.6.4 notebook.mima.de notebook
> 192.168.6.5 judith.mima.de judith
> 192.168.6.11 debbi.mima.de debbi
Gut und das ganze an einem HUB?
> > Dann bitte mal die Ausgabe von:
> > netstat -ln
> debbi:/home/michael# netstat -ln
> Aktive Internetverbindungen (Nur Server)
Eine Bitte: Kannst Du in Zukunft solche Ausgaben in der englishen
Version erzeugen?
> Proto Recv-Q Send-Q Local Address Foreign Address State
> tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:901 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:9 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:13 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:79 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:947 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
> udp 0 0 0.0.0.0:32768 0.0.0.0:*
> udp 0 0 0.0.0.0:2049 0.0.0.0:*
> udp 0 0 0.0.0.0:517 0.0.0.0:*
> udp 0 0 0.0.0.0:518 0.0.0.0:*
> udp 0 0 192.168.6.11:137 0.0.0.0:*
> udp 0 0 0.0.0.0:137 0.0.0.0:*
> udp 0 0 0.0.0.0:9 0.0.0.0:*
> udp 0 0 192.168.6.11:138 0.0.0.0:*
> udp 0 0 0.0.0.0:138 0.0.0.0:*
> udp 0 0 127.0.0.1:32780 0.0.0.0:*
> udp 0 0 0.0.0.0:783 0.0.0.0:*
> udp 0 0 0.0.0.0:10000 0.0.0.0:*
> udp 0 0 0.0.0.0:944 0.0.0.0:*
> udp 0 0 0.0.0.0:111 0.0.0.0:*
> udp 0 0 0.0.0.0:631 0.0.0.0:*
Was fuer eine Liste!
Die musst Du Zeile fuer Zeile durchgehen. Zunaechst schau dir bitte mal
die /etc/inetd.conf an. Steht nda irgendwas drin, was Du brauchst? Wenn
nicht, setze an den Anfang jeder Zeile ein "#" Und starte den inetd neu.
Dann folgende Fragen:
Du bietest ssh fuer alle an. Soll das auch aus dem Internet moeglich
sein? Nein? Dann bitte folgende Konfiguration in /etc/ssh/sshd_config
vornehmen:
ListenAddress <interne ip adresse>
Danach /etc/init.d/ssh restart
Willst Du einen FTP Server anbieten? Wenn nein, deinstalliere den
installierten FTP Server. Wenn ja, willst Du den auch im Internet
anbieten? Wenn nein, welcher FTP Server ist das?
Du bietest einen Mailserver an. Brauchst Du den? wenn ja, soll der auch
aus dem Internet Mails annehmen? Wenn nein, welcher Mailserver laeuft
da?
Du bietest einen HTTP Server an. Wie Du schon geschrieben hast, fuer
Webmin. Wenn Webmin nur aus dem internen Netz funktionieren soll, dann
konfiguriere folgendes in /etc/apache/http.conf:
Listen <interne ip adresse>:80
Danach /etc/init.d/apache restart
Du hast einige RPC Dienste laufen. Ist dieser Server ein NFS Server?
Wenn ja, ist es das Beste, diesen Dienst auf einen internen Rechner zu
verlagern. Das solltest Du nicht auf einem Borderrouter laufen lassen.
Wenn nein, deinstalliere die NFS Pakete und stoppt den Portmapper
/etc/init.d/portmap).
Du bietest einen Telnetserver an. Dies ist nicht notwendig. Es gibt ssh
Clients fuer viele Betriebssysteme und ssh hast Du schon laufen.
Deinstalliere das Paket telnetd.
Hast Du das alles gemacht, bitte nochmal die Ausgabe von "netstat -ln"
hier posten und bei Ports bei denen Du nicht weisst, welches Programm
dort horcht, kannst Du das mit "lsof -Pi | grep <portnummer>"
herrausfinden. Bitte Poste ruhig die Ergebnisse.
Du scheinst aber auch so ziemlich jedes Paket installiert zu haben. Ist
es nicht so?
Normalerweise geht man so vor, dass man nur das installiert, was man
unbedingt braucht und nicht einfach mal so irgendwas.
> > Am Ende steht (hoffentlich) fuer dich ein sicher konfiguriertes System
> > ganz ohne Firewall.
> Das find ich nun aber interessant!
> Bin mal gespannt :-)
Ist einfach eine einfache Sache. Ein Dienst, der nicht laeuft, kann auch
nicht angegriffen werden. Ein Dienst, der nicht im Internet angeboten
wird, kann nicht ohne Weiteres aus dem Internet angegriffen werden. Aber
dazu kommen wir im naechsten Schritt.
Gruss, Guido
--
- Diese Aussage ist sinnlos, da "oft" keine wissenschaftliche Aussage
beinhaltet. (FvL in de.comp.os.unix.discussion)
Deshalb schrieb ich "meistens". (FvL in de.comp.os.unix.discussion)
Attachment:
pgpnIxdAKYgcv.pgp
Description: PGP signature